Weiterer Android-Bug betrifft Geräte ab Android 4.3, Patch bereits unterwegs
Android hat es in diesen Tagen nicht allzu leicht, wenn es um die Sicherheit des Systems geht. Zuerst wurde Stagefright aufgedeckt, danach folgte Certifi-gate. Und nun gibt es die nächste Lücke, die von Sicherheitsforschern entdeckt wurde. Betroffen sind diesmal alle Android-Versionen ab 4.3, aber ein Patch steht bereits zur Verfügung. Ausgeliefert ist dieser jedoch noch nicht. Lange sollte es dennoch nicht dauern, kündigten einige Hersteller ja bereits an, dass sie nun monatlich Security-Patches zur Verfügung stellen wollen.
Die Lücke CVE-2015-3825 ermöglicht es manipulierten Apps auf das gesamte Android-System zuzugreifen und sich auch auf Systemebene zu bewegen. Angreifer können Apps erstellen, die während der Installation keine Berechtigungen erfordern, sich diese aber dann nach der Installation quasi selbst geben. Der Nutzer bekommt nichts davon mit.
Damit nicht genug, die Forscher fanden auch in verschiedenen SDKs für Android-Apps Schwachstellen, die es Angreifern erleichtern solche Apps zu erstellen. Diese zielen nämlich darauf ab, dass sie eine Original-App ersetzen und dann ab einem Reboot des Android-Gerätes Daten über diese Fake-App sammeln können. Es gibt allerdings keine Hinweise darauf, dass die Lücke aktiv ausgenutzt wird. Zusammen mit dem Wissen, dass sich ein Patch bereits auf dem Weg befindet, sollte man also nicht direkt in Panik verfallen.
Die komplette Ausführung des Security-Teams könnt Ihr an dieser Stelle (PDF) studieren. Bis der Patch zur Verfügung steht, ist es eventuell ratsam, nicht jede APK aus unbekannter Quelle zu installieren. Das ist es aber eigentlich immer, nicht nur, wenn es gerade eine neu entdeckte Lücke gibt.
So langsam ist das nicht mehr lustig. Hat die Sicherheitslücke auch einen Namen?
Wieder eine Lücke die sich ziemlich einfach – auch ohne Patch – „schließen“ lässt: einfach nur Apps aus dem Play Store verwenden. Da filtert Google – spätestens bei bekannt werden – den quatsch raus.
@Timo,
ich glaube, denen gehen bei der Menge an Lücken die kreativen Namen langsam aus…
Ich finde das höchst bedenklich, befürchte aber, dass wir hier lediglich den Beginn einer größeren Welle sehen, die – nun ja – nie mehr aufhören wird… So unfassbar grottig, wie die Qualität von Software heute ist. Da sollte was passieren.
70-80% Prozent Verbreitung + tendenziell offenere Plattform ist halt eine verführerische Mischung. Aber wer bei Apps aus dem Playstore bleibt kann schon mal viele Risiken umgehen. Generell finde ich aber gut das ein großer Druck auf die Hersteller dadurch ausgeübt wird um die Update-Situation besser zu machen. Dann haben alle gewonnen.
Warum das gemäcker? Seit doch froh das diese Lücken gefunden werden, je mehr desto besser.
Nun reagieren die Hersteller und bringen für die Handys endlich aktuelle Software raus.
Das gleiche war mit meiner Fritzbox die ich von EWE Tel mit Zwangsbranding bekommen habe.
EWE Tel hat auch Jahrelang keine Updates für die Fritzbox herausgebracht.
Neue Features konnte ich somit nicht nutzen.
Angeblich war es nicht möglich die aktuelle Fritz Software mit EWE Tel Kompatible zu machen.
Kaum waren ein paar Bugs veröffentlicht klappte es auch mit der aktuellen Firmware.
Ich danke den Hackern die diese Bugs gefunden und auch ausgenutzt haben.
Wenn ich sowas lese, stelle ich mir immer wieder die Frage, wieviele Schwachstellen noch gar nicht identifiziert und konstant von Version zu Version verschleppt werden? Das ist echt beängstigend…
@ionas
Willkommen in der Welt von Software !
Naja gucken wir mal, bis jetzt war ja keine Lücke so wirklich schlimm, sollte aber nur eine Frage der Zeit sein bis da mal eine Auftaucht (kann ja auch ein Kernel Problem sein).
Der link zur PDF ist nicht gesetzt!!
@Steven: nun ist er es. Danke!
Also mir reicht es (schon lange). Meine 2 Sonys werden verkauft, das Motorola meiner Frau auch. Wechseln wie schon andere im Bekanntenkreis jetzt ebenso zu win10m.
In Verbindung mit win10 durchgängige Bedienung, universal apps und selbst android apps laufen ja inzwischen darauf. Außerdem kann ich mich endlich von den Googlediensten befreien. Euch noch viel Spaß mit dem Rumgepatche…wenn denn überhaupt welche kommen, sollte das Gerät älter als 12Monate sein. Im übrigen auch cool, ein Kollege hat seit fast 3Jahren ein Lumia 920, welches mal locker flockig auf win10m geupdated werden kann…sprich dann mind.5Jahre Support-wow. Auch was, das ich bei Android vermisst habe…also in diesem Sinne
Ja denn ‚tüss Sebastian, Auf eine gute Zeit, denn bei M$ gibt es ja bekanntlich keinerlei Sicherheitsprobleme.
Vielleicht wird’s mal Zeit für eine richtig gravierende Lücke, die Schaden verursacht und Druck macht.